arrow_back
search
close

Che cos'è un Keylogger?

Significato Keylogger

Un keylogger (abbreviazione di keystroke logger) è un tipo di tecnologia di sorveglianza che tiene traccia e registra ogni sequenza di tasti eseguita su un computer o un dispositivo mobile. Anche se i keylogger sono spesso associati ad attività informatiche dannose, come il furto di credenziali di accesso o dati sensibili, possono anche essere utilizzati in scenari legittimi, come la supervisione dei dipendenti o il software di controllo genitoriale.

Tipi di keylogger

I keylogger variano in base al metodo di funzionamento e al livello di accesso al sistema. Di seguito sono riportati i tipi più comuni, ciascuno con comportamenti distinti e implicazioni per il rilevamento:

Keylogger basati su API

Questi registratori utilizzano API di sistema standard per registrare le sequenze di tasti. Mimano le normali interazioni tra hardware e software, rendendole particolarmente difficili da distinguere dai processi legittimi. Ogni volta che viene premuto o rilasciato un tasto, il logger acquisisce l'evento in tempo reale senza avvisare l'utente.

Keylogger che catturano i moduli

Invece di monitorare le singole sequenze di tasti, i tabulatori di moduli acquisiscono l'intero contenuto dei moduli web quando un utente li invia. Ciò significa che nomi utente, password, dettagli della carta di credito e altri dati sensibili possono essere intercettati prima di essere crittografati e trasmessi.

Keylogger a livello di kernel

Operando al livello più profondo di un sistema operativo, il kernel, questi keylogger ottengono l'accesso a livello amministrativo. Possono registrare qualsiasi attività senza rilevamento da parte di strumenti antivirus standard, rendendole una delle varietà più pericolose.

Keylogger basati su JavaScript

Spesso inseriti in siti web compromessi o attraverso attacchi basati su browser, questi keylogger utilizzano script dannosi per monitorare l'input della tastiera all'interno di una pagina web. Vengono distribuiti attraverso metodi come cross-site scripting (XSS), attacchi man-in-the-middle o contenuti di terze parti compromessi.

Keylogger basati su hardware

I keylogger basati su hardware sono dispositivi fisici che vengono inseriti tra la tastiera e il computer o addirittura integrati all'interno delle tastiere stesse. Richiedono l'accesso fisico al dispositivo di destinazione per l'installazione, ma sono praticamente non rilevabili attraverso scansioni antivirus o software tradizionali. Una volta installate, registrano le sequenze di tasti nella memoria interna o le trasmettono in modalità wireless a un ricevitore esterno.

Come funzionano i keylogger

I keylogger operano intercettando e registrando l'input degli utenti, spesso sfruttando tattiche invisibili per rimanere nascosti agli utenti e al software di sicurezza. Ecco uno sguardo più da vicino al loro funzionamento:

Acquisizione degli ingressi della tastiera

Il metodo principale utilizzato dai keylogger è intercettare le sequenze di tasti man mano che vengono inserite. In genere, ottengono questo risultato attraverso:

  • Agganciamento API: Molti keylogger software utilizzano ganci a livello di sistema, come l'API SetWindowsHookEx su Windows, per intercettare gli eventi della tastiera prima che raggiungano le applicazioni.
  • Intercettamento a livello di kernel: I keylogger più avanzati funzionano a livello di kernel, catturando i dati di input grezzi direttamente dall'hardware, spesso bypassando le difese di sicurezza in modalità utente.

Ciò consente ai keylogger di registrare tutto, dai documenti digitati alle credenziali di accesso, senza la consapevolezza dell'utente.

Gestione dei dati e tecniche di furto

Oltre a registrare le sequenze di tasti, molti keylogger sono progettati per raccogliere attività più ampie degli utenti e trasmettere le informazioni rubate in modo nascosto:

  • Acquisizione dati estesa: Alcune varianti registrano anche i contenuti degli appunti, scattano screenshot periodici o registrano i siti web visitati e l'utilizzo delle applicazioni.
  • Conservazione e trasmissione: I dati acquisiti vengono archiviati localmente in file nascosti o trasmessi a un server remoto tramite email, FTP o canali di comunicazione crittografati.
  • Operazioni di furto: Per evitare il rilevamento, i keylogger spesso si mascherano come processi legittimi, utilizzano tecniche rootkit per nascondere la loro presenza o operano esclusivamente nella memoria di sistema per eludere le scansioni antivirus basate su file.

Usi nel mondo reale dei keylogger

Casi d'uso dannosi

  • Furto di identità: I cyber criminali possono utilizzare i keylogger per acquisire nomi utente, password, credenziali bancarie e numeri di identificazione personale (PIN).
  • Sorveglianza: Gli hacker possono monitorare l'attività online di una vittima, leggere le email o tenere traccia delle conversazioni.
  • Espionaggio aziendale: Negli ambienti aziendali, i keylogger possono essere distribuiti per rubare segreti commerciali o ottenere l'accesso non autorizzato alle informazioni riservate.

Casi d'uso legittimi

  • Controlli parentali: Alcuni genitori installano keylogger per monitorare il comportamento online dei propri figli, garantendo che siano al sicuro e non si impegnino con contenuti dannosi.

  • Monitoraggio del posto di lavoro: I datori di lavoro possono utilizzare i keylogger come parte degli strumenti di monitoraggio degli endpoint per monitorare la produttività e garantire la conformità alle politiche aziendali. Tuttavia, ciò deve essere fatto in modo trasparente ed etico, rispettando i diritti alla privacy dei dipendenti.

In che modo i keylogger infettano i dispositivi

I keylogger vengono comunemente distribuiti attraverso metodi simili ad altri tipi di malware, tra cui:

  • Email di phishing e allegati dannosi: Gli aggressori inviano email convincenti contenenti documenti o link infetti. L'apertura di un file booby-trapped, come un documento Word abilitato per le macro, può installare un keylogger in modo silenzioso.
  • Tecniche di malware fileless: Invece di lasciare tracce evidenti, i keylogger fileless inseriscono il codice direttamente nella memoria utilizzando strumenti come PowerShell o DLL injection.
  • Software trojanizzato e bundle software: I keylogger sono talvolta nascosti all'interno di applicazioni apparentemente legittime o download di software piratati. L'installazione involontaria di questi programmi manomessi installa il logger in background.
  • Estensioni browser dannose (attacchi man-in-the-browser): I componenti aggiuntivi del browser falsi o compromessi possono acquisire tutto ciò che è stato digitato nei moduli web, aggirando le protezioni come i gestori di password o le tastiere virtuali.
  • Download drive-by e kit di exploit: Anche semplicemente visitando un sito web compromesso con un browser o un plug-in obsoleto è possibile attivare un download automatico, che installerà in silenzio un keylogger sul tuo dispositivo.
  • USB Drops e accesso fisico: Gli aggressori possono piantare dispositivi USB infetti o installare fisicamente keylogger hardware tra una tastiera e un computer per acquisire i dati in modo silenzioso senza la necessità dell'interazione dell'utente.

Tecniche di persistenza

Una volta installati, i keylogger mirano a sopravvivere ai riavvii e a rimanere nascosti utilizzando metodi come:

  • Voci di avvio automatico e attività pianificate: I keylogger si aggiungono alle cartelle di avvio, alle chiavi di registro o alle attività pianificate per essere riavviati automaticamente all'avvio.
  • Installazione del servizio e iniezione del processo: Alcuni registratori si installano come servizi di sistema o si inseriscono in processi legittimi (come explorer.exe) per integrarsi con le normali operazioni di sistema.
  • Abuso di strumenti legittimi: Utilizzando binari "vivere fuori terra" (come wscript.exe o powershell.exe), i keylogger possono eseguire in silenzio senza evidenti artefatti da malware.
  • Firmware o bootkit: I keylogger altamente sofisticati possono infettare il BIOS del sistema o il firmware del dispositivo, consentendo loro di attivarsi anche prima del caricamento del sistema operativo, una tattica solitamente osservata negli attacchi mirati e di alto valore.

Come rilevare e rimuovere un keylogger

Riconoscere la presenza di un keylogger può essere difficile, ma ci sono segnali rivelatori:

  • Ritardo o lentezza imprevisti nella risposta della tastiera
  • Processi sconosciuti o sospetti in esecuzione in Gestione attività o Monitoraggio attività
  • Frequenti arresti anomali dell'applicazione o comportamento insolito del sistema
  • Prestazioni di navigazione web notevolmente più lente

Per rimuovere i keylogger:

  • Utilizza strumenti anti-malware o anti-keylogger dedicati per scansionare il tuo dispositivo.
  • Mantieni aggiornato il tuo software antivirus ed esegui scansioni regolari per rilevare nuove minacce.
  • Avvia in modalità provvisoria per eseguire controlli di sistema più approfonditi.
  • Reimposta le impostazioni del browser e dell'app per escludere le estensioni dannose.

Come proteggersi dai keylogger

Ecco alcuni passaggi proattivi per prevenire le infezioni da keylogger:

  • Mantieni aggiornato il software: aggiorna regolarmente il sistema operativo, i browser e le applicazioni per correggere le vulnerabilità note che i keylogger e i malware spesso sfruttano.
  • Usa Antivirus ed Endpoint Security - Installa soluzioni antivirus o di sicurezza degli endpoint affidabili con protezione in tempo reale e rilevamento comportamentale per rilevare le minacce note ed emergenti.
  • Abilita l'autenticazione a più fattori (MFA): anche se viene acquisita una password, l'MFA aggiunge un livello di sicurezza aggiuntivo cruciale che può bloccare l'accesso non autorizzato.
  • Tastiere virtuali - Le tastiere virtuali consentono di fare clic sui tasti sullo schermo invece di digitare, rendendo più difficile per i keylogger di base acquisire il proprio input.
  • Formazione degli utenti e consapevolezza della sicurezza: istruisci regolarmente gli utenti sui rischi di phishing, sui download sospetti e sui segnali di allarme dei keylogger.

Che cos'è un keylogger?

Risorse

Assistenza

Informazioni su Trend

Sede legale nazionale

  • Trend Micro - Italy (IT)
  • Edison Park Center
    Viale Tomas Edison 110 — Edificio C
    20099, Sesto San Giovanni MI, Italia
  • Phone:: +39 02 925931

Seleziona un Paese/regione

close

America

Medio Oriente e Africa

Europa

Asia e Pacifico

Prova gratuitamente la nostra piattaforma unificata

Copyright ©2025 Trend Micro Incorporated. All rights reserved.